Am 14. April 2026 wurde die Unimed Abrechnungsservice für Kliniken und Chefärzte GmbH mit Sitz in Wadern (Saarland) Ziel eines Cyberangriffs. Unimed rechnet privatärztliche und wahlärztliche Leistungen für rund 95 Prozent der deutschen Universitätskliniken und etwa die Hälfte aller größeren Krankenhäuser ab. Damit lagen bei dem Dienstleister Datenbestände aus einem erheblichen Teil der deutschen Krankenhauslandschaft.

Die Angreifer verfolgten ein klassisches Doppel-Erpressungsmuster: Zuerst wurden Daten ausgeleitet, anschließend wurde versucht, die Systeme zu verschlüsseln. Die Verschlüsselung konnte verhindert werden — der Datenabfluss gelang jedoch. Unimed meldete den Vorfall am 16. April 2026 dem BSI sowie den zuständigen Datenschutzbehörden und schaltete das Landeskriminalamt Saarland ein.

Das Ausmaß wurde erst am 18. Mai 2026 belastbar kommuniziert. Ab dem 21. Mai 2026 begannen die betroffenen Kliniken, ihre Patientinnen und Patienten zu informieren. Mit Stand 27. Mai 2026 sind über 120.000 Datensätze betroffen — unter anderem am Universitätsklinikum Freiburg (rund 54.000), an der Uniklinik Köln (30.000), am Universitätsklinikum Düsseldorf (rund 3.000) und am Klinikum Karlsruhe (4.100). Auch das UKSH, das UKE, die Märkischen Kliniken, das Klinikum Mittelbaden sowie weitere Häuser sind betroffen.

Wichtig vorab: Die IT-Systeme der Krankenhäuser wurden nicht angegriffen. Der Angriff galt ausschließlich Unimed. Dennoch ist der Vorfall ein Lehrstück für jede Klinikleitung in Deutschland.

Lehre 1 — Lieferketten-Risiko ist real (§30 BSIG)

Der Vorfall zeigt mit aller Deutlichkeit: Selbst eine erstklassig abgesicherte Klinik-IT schützt nicht vor Datenabfluss, wenn sensible Daten regulär an Dritte übermittelt werden. Abrechnung, Radiologie-Dienste, KIS-Hosting, Cloud-Backups, Archivierung — jeder dieser Bereiche verlagert Daten aus dem Haus, und jede dieser Schnittstellen ist ein eigenes Angriffsziel.

Genau hier setzt das NIS2-Umsetzungsgesetz an. §30 BSIG verlangt von besonders wichtigen Einrichtungen — und damit von Krankenhäusern oberhalb der Schwellenwerte — ausdrücklich Maßnahmen zur Sicherheit der Lieferkette. Gemeint ist nicht nur die technische Anbindung, sondern die organisatorische Absicherung der gesamten Verarbeitungskette.

Praktisch bedeutet das drei Dinge. Erstens ein vollständiges Inventar aller Dienstleister, die personenbezogene Daten, Behandlungsdaten oder andere klinik-relevante Informationen verarbeiten. Zweitens vertragliche Mindestanforderungen: Verschlüsselung bei der Übertragung und im Ruhezustand, Mehr-Faktor-Authentifizierung, Vorgaben für Backup-Konzepte, Audit-Rechte, klare Meldepflichten bei Vorfällen. Drittens ein Prüfkonzept, das die Dienstleister nach Kritikalität klassifiziert und festlegt, welcher Anbieter wie häufig auditiert wird.

Kliniken, die §30 BSIG bislang vor allem auf die eigene Infrastruktur bezogen haben, sollten ihr Konzept jetzt um die Lieferkette ergänzen. Eine strukturierte Übersicht der §30-BSIG-Maßnahmen für Krankenhäuser erleichtert den Einstieg. Wer die Lieferkette nicht systematisch absichert, erfüllt die NIS2-Pflichten nicht vollständig — unabhängig vom Reifegrad der eigenen IT.

Lehre 2 — Datenminimierung in Verträgen mit Dienstleistern

Eine sachliche Beobachtung aus dem Vorfall: Beim Klinikum Oldenburg lagen offenbar noch Daten im Unimed-System, obwohl die Geschäftsbeziehung bereits 2023 beendet wurde. Das ist keine Bewertung des Dienstleisters — es ist eine Lehre für die Auftraggeber-Seite, also für jede Klinik, die Dienstleister beauftragt und wechselt.

Art. 5 DSGVO formuliert den Grundsatz der Speicherbegrenzung eindeutig: Personenbezogene Daten dürfen nur so lange in einer identifizierenden Form aufbewahrt werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Übersetzt auf die Praxis heißt das: Wenn ein Vertrag endet, müssen Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht oder zurückgegeben werden — beim Auftragsverarbeiter ebenso wie im eigenen Haus.

In der Praxis ist genau dieser Schritt häufig der schwächste Punkt. Kliniken sollten ihre Auftragsverarbeitungsverträge gezielt auf zwei Punkte prüfen: konkrete Lösch- oder Rückgabefristen nach Vertragsende sowie das vertragliche Recht, die Löschung schriftlich bestätigen zu lassen — idealerweise mit Nachweispflicht des Dienstleisters.

Für Informationssicherheitsbeauftragte ergibt sich eine konkrete Audit-Frage: Welche unserer Ex-Dienstleister verfügen möglicherweise noch über Datenbestände aus unserem Haus? Eine systematische Abfrage bei beendeten Vertragsverhältnissen — verbunden mit der formellen Aufforderung zur Löschung — gehört in den jährlichen ISMS-Rhythmus. Datenschutz endet nicht mit der Vertragskündigung, sondern mit der nachweisbaren Löschung.

Lehre 3 — NIS2-Meldepflicht: die 24-Stunden-Frist ernst nehmen

§32 NIS2UmsuCG kennt eine dreistufige Meldepflicht. Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls ist eine Frühwarnung an das BSI abzusetzen. Spätestens nach 72 Stunden folgt die ausführlichere Vorfallmeldung. Innerhalb eines Monats ist ein Abschlussbericht vorzulegen.

Im Unimed-Fall wurde das BSI zwei Tage nach dem Angriff informiert. Das liegt innerhalb des 72-Stunden-Fensters für die Folgemeldung. Für Kliniken ist daraus keine Bewertung des Dienstleisters abzuleiten, sondern ein klarer Prüfauftrag: Sind die eigenen Fristen-Prozesse so aufgesetzt, dass die 24-Stunden-Frühwarnung sicher eingehalten wird — auch nachts, am Wochenende, im Urlaub der Verantwortlichen?

Hinzu kommt ein zweiter Aspekt, der oft übersehen wird. Eine eigene Meldepflicht kann auch dann greifen, wenn der Angriff beim Dienstleister stattfand — vorausgesetzt, klinik-relevante Daten oder Prozesse sind betroffen. Im Unimed-Kontext bedeutet das: Kliniken prüfen eigenverantwortlich, ob die Voraussetzungen einer eigenen Meldung nach §32 NIS2UmsuCG vorliegen. Die Meldung des Dienstleisters ersetzt die eigene nicht automatisch.

Parallel läuft die DSGVO-Meldepflicht: 72 Stunden gegenüber der zuständigen Aufsichtsbehörde, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Beide Fristen sollten im Incident-Response-Playbook koordiniert vorbereitet sein. Wer die 24-Stunden-Meldepflicht im Klinik-Kontext sauber operationalisiert, hat im Ernstfall die entscheidenden Stunden gewonnen.

Lehre 4 — BCM ist Pflicht, nicht Kür

Aus Klinik-Sicht gehört zu den schwierigsten Aspekten des Vorfalls die wochenlange Unklarheit über das tatsächliche Ausmaß. Erst rund fünf Wochen nach dem Angriff lagen belastbare Zahlen vor — eine Phase, in der die betroffenen Häuser kaum entscheiden konnten, ob und wie sie Patientinnen und Patienten informieren. Das ist kein Vorwurf an den Dienstleister; forensische Auswertungen großer Datenabflüsse benötigen Zeit. Es ist aber ein BCM-Thema für die Auftraggeber-Seite.

§30 BSIG nennt Business Continuity Management ausdrücklich als Pflicht-Maßnahme. In der Praxis konzentrieren sich BCM-Konzepte in Krankenhäusern häufig auf die eigene IT — Ausfall des KIS, Stromausfall, Ransomware im Haus. Drittparteien-Ausfälle werden seltener systematisch durchgespielt.

Genau das sollte sich ändern. Eine Business-Impact-Analyse muss kritische Dienstleister einschließen. Die Leitfrage lautet: Was passiert, wenn unser Abrechnungsdienstleister sechs Wochen ausfällt — operativ, finanziell, kommunikativ? Welche Patientenkommunikation ist vorbereitet? Welche Daten liegen wo, und wie schnell können wir sie selbst auswerten?

Konkrete Bausteine für ein belastbares BCM in dieser Frage: Ersatzprozesse für die wichtigsten ausgelagerten Funktionen, vorbereitete Kommunikationsbausteine für Patienten, ein Eskalationsplan für die Geschäftsführung, klare Verantwortlichkeiten im Krisenstab. Ein praxisorientierter Leitfaden zum Aufbau eines Notfallplans bietet eine Struktur, mit der sich Drittparteien-Szenarien systematisch ergänzen lassen.

Lehre 5 — Persönliche Haftung der Geschäftsleitung

§38 BSIG sieht eine persönliche Haftung der Geschäftsleitung vor, wenn das Risikomanagement nach §30 BSIG nicht angemessen umgesetzt ist. Hinzu kommen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Der branchenweite Kontext ist ernüchternd. Die BSI-Registrierungsfrist endete am 6. März 2026. Nach den verfügbaren Zahlen haben rund 11.000 von etwa 29.500 betroffenen Unternehmen registriert — das sind rund 38 Prozent. Knapp 60 Prozent haben die Frist versäumt. Das ist kein spezifisches Problem einer einzelnen Branche oder eines einzelnen Unternehmens, sondern ein flächendeckendes Haftungsrisiko.

Für Geschäftsführungen und Vorstände in Krankenhäusern ergibt sich daraus ein klarer Auftrag: nachweisbare Cybersecurity-Governance. Dazu gehören eine dokumentierte Risikoanalyse, ein lebendiges ISMS mit regelmäßigen Reviews, dokumentierte Vorstandsschulungen sowie regelmäßige Reportings zur Wirksamkeit der Maßnahmen. ISMS-Tools wie die ISMShield AI Suite unterstützen genau diese Nachweisführung — die Verantwortung selbst bleibt jedoch immer bei der Leitungsebene.

Persönliche Haftung ist seit dem 6. Dezember 2025 kein theoretisches Konstrukt mehr, sondern geltendes Recht. Wer die Unterschiede zwischen den bisherigen IT-Sicherheitsanforderungen nach §391 SGB V und den neuen NIS2-Pflichten noch nicht systematisch geprüft hat, sollte das jetzt nachholen.

Was Kliniken in den nächsten 30 Tagen tun sollten

Aus den fünf Lehren ergibt sich eine konkrete Agenda für die kommenden Wochen:

  1. Dienstleister-Inventar erstellen. Vollständige Liste aller Drittparteien, die personenbezogene oder klinik-relevante Daten verarbeiten — inklusive Datenkategorien, Übertragungswegen und Vertragslaufzeiten.
  2. AV-Verträge prüfen. Insbesondere Lösch-, Rückgabe- und Audit-Klauseln sowie Meldepflichten bei Sicherheitsvorfällen. Lücken nachverhandeln.
  3. Bei Ex-Dienstleistern Löschung einfordern. Aktive schriftliche Aufforderung mit Bestätigungspflicht. Ergebnisse dokumentieren.
  4. Incident-Response-Playbook erweitern. Eigenes Vorgehen bei Drittparteien-Vorfällen festlegen, inklusive 24-Stunden-Trigger für die NIS2-Frühwarnung.
  5. BCM-Szenarien durchspielen. Mindestens eine Tabletop-Übung zum Thema „Dienstleister fällt sechs Wochen aus".
  6. Meldepflicht-Prozess verankern. Klare Zuständigkeiten im Krisenstab, abgestimmt zwischen IT, ISB, Datenschutz, Recht und Kommunikation.
  7. BSI-Registrierung prüfen. Falls bislang nicht erfolgt: kurzfristig nachholen.
  8. Geschäftsleitung schulen. Dokumentierte Schulung zu NIS2-Pflichten, §30/§32 BSIG und persönlicher Haftung nach §38 BSIG.

Was Patienten jetzt tun sollten

Patientinnen und Patienten, die möglicherweise betroffen sind, sollten zunächst die schriftliche Mitteilung ihrer Klinik abwarten. Diese enthält Angaben dazu, welche Daten konkret abgeflossen sind. Bei verdächtigen E-Mails, SMS oder Anrufen, die sich auf Behandlungen oder Rechnungen beziehen, ist erhöhte Vorsicht geboten — das BSI hat bereits am 26. Mai 2026 vor Phishing-Versuchen auf Basis der gestohlenen Daten gewarnt. Wer Hinweise auf eine Betroffenheit der Bankverbindung erhält, sollte das Konto engmaschig überwachen. Daten oder Zugangsinformationen sollten niemals auf unaufgeforderte Anfragen herausgegeben werden.

FAQ

Wurden beim Angriff auf Unimed auch die IT-Systeme der Krankenhäuser kompromittiert? Nein. Der Angriff galt ausschließlich dem Abrechnungsdienstleister Unimed in Wadern. Die Klinik-IT-Systeme der betroffenen Universitäts- und Krankenhäuser waren weder Ziel noch Einfallstor und wurden nach derzeitigem Stand nicht kompromittiert. Betroffen sind ausschließlich Daten, die die Kliniken regulär zur Abrechnung privatärztlicher und wahlärztlicher Leistungen an Unimed übermittelt hatten. Für die Patientenversorgung in den Häusern hatte der Vorfall keine direkten Auswirkungen. Der Fall zeigt jedoch, dass sensible Daten auch dann gefährdet sind, wenn sie das eigene Haus regulär verlassen.

Welche Daten sind beim Unimed-Vorfall abgeflossen? Nach den bislang öffentlich bestätigten Informationen handelt es sich überwiegend um Stammdaten wie Namen und Adressen sowie um Rechnungsinformationen. In Einzelfällen sind auch Diagnosen betroffen, etwa bei der Uniklinik Köln in rund 843 Fällen und beim Klinikum Karlsruhe in rund 1.100 Fällen. Bankverbindungen sind nach derzeitiger Auswertung nur in seltenen Einzelfällen betroffen — beispielsweise in fünf Fällen in Köln und vier Fällen in Karlsruhe. Darüber hinaus liegen keine belastbaren Informationen zu weiteren Datenkategorien vor.

Muss ein Krankenhaus einen Sicherheitsvorfall bei einem Dienstleister selbst dem BSI melden? Möglicherweise ja. Eine eigene Meldepflicht nach §32 NIS2UmsuCG kann auch dann greifen, wenn der Angriff beim Dienstleister stattfand — vorausgesetzt, klinik-relevante Daten oder Prozesse sind betroffen. Es gelten die dreistufigen Fristen: Frühwarnung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Parallel läuft die DSGVO-Meldepflicht von 72 Stunden gegenüber der Aufsichtsbehörde. Kliniken sollten beide Fristen koordiniert vorbereiten und im Krisenstab klar zuordnen, wer welche Meldung verantwortet.

Was bedeutet der Vorfall für die NIS2-Pflichten zur Lieferkette? Der Vorfall macht praktisch sichtbar, was §30 BSIG ohnehin verlangt: die Sicherheit der Lieferkette ist Teil des Risikomanagements. Konkret heißt das ein vollständiges Inventar aller datenverarbeitenden Dienstleister, Auftragsverarbeitungsverträge mit klaren Lösch-, Audit- und Meldepflicht-Klauseln sowie Prüfkonzepte für besonders sensible Anbieter. Kliniken sollten Dienstleister nach Kritikalität klassifizieren und festlegen, welche Anbieter wie häufig auditiert werden. Die Verantwortung für die Datensicherheit lässt sich nicht vollständig delegieren — sie bleibt bei der verantwortlichen Stelle.

Was sollten Patienten tun, deren Daten betroffen sein könnten? Patientinnen und Patienten sollten zunächst die schriftliche Mitteilung ihrer Klinik abwarten. Diese enthält in der Regel Angaben dazu, welche Daten konkret betroffen sind. Bei verdächtigen E-Mails, SMS oder Anrufen, die sich auf Behandlung oder Rechnungen beziehen, gilt erhöhte Vorsicht: Das BSI hat am 26. Mai 2026 ausdrücklich vor Phishing-Versuchen auf Basis der gestohlenen Daten gewarnt. Wer eine Betroffenheit der Bankverbindung erhält, sollte das Konto regelmäßig prüfen. Persönliche Daten oder Zugangsdaten sollten niemals auf unaufgeforderte Anfragen herausgegeben werden.

Wie können Kliniken das Risiko durch Drittdienstleister konkret senken? Wirksam ist eine Kombination aus vier Bausteinen. Erstens ein vollständiges Inventar aller Dienstleister, die personenbezogene oder klinik-relevante Daten verarbeiten. Zweitens Auftragsverarbeitungsverträge mit eindeutigen Lösch-, Rückgabe- und Audit-Rechten sowie Vorgaben zur unverzüglichen Vorfallmeldung. Drittens BCM-Szenarien, die einen längeren Ausfall einzelner Dienstleister durchspielen — inklusive Eskalationswegen und Ersatzprozessen. Viertens ein Incident-Response-Playbook, das Drittparteien-Vorfälle explizit abdeckt, inklusive 24-Stunden-Trigger für die NIS2-Frühwarnung und 72-Stunden-Trigger für die DSGVO-Meldung.

Fazit und nächste Schritte

Der Unimed-Vorfall macht sichtbar, was NIS2 seit dem 6. Dezember 2025 ohnehin verlangt: Die Sicherheit der Lieferkette ist Teil des Risikomanagements jeder Klinik. Wer Dienstleister einsetzt — und das tun alle Krankenhäuser — trägt Mitverantwortung für die Datensicherheit über die eigenen Hausgrenzen hinaus.

Unsicher, ob Ihre Klinik §30 BSIG — insbesondere die Lieferketten-Sicherheit — vollständig umgesetzt hat? Das kostenfreie NIS2-Self-Assessment liefert Ihnen in rund 15 Minuten einen anonymen Bericht mit konkreten Handlungsempfehlungen.

Kostenfreies NIS2-Self-Assessment starten

Lieber im Gespräch? Buchen Sie einen 15-minütigen Discovery Call — wir zeigen Ihnen die ISMShield AI Suite und besprechen Ihren konkreten Handlungsbedarf nach §30 BSIG.

15-Minuten Discovery Call buchen

Der Beitrag dient der allgemeinen Information und stellt keine Rechts- oder Beratungsdienstleistung dar. Für die Umsetzung in der eigenen Organisation sollten Sie einen Fachanwalt bzw. Ihren Datenschutzbeauftragten konsultieren.

Stand der Informationen: 29. Mai 2026. Quellen: heise online, Born's IT-Blog, mobiflip.de sowie Pressemitteilungen der betroffenen Universitätskliniken (Freiburg, Köln, Düsseldorf) und Mitteilungen des BSI.